當前對于人臉識別等此類個人信息的權利歸屬與保護并沒有權威解釋和系統(tǒng)的政策法律規(guī)范，商業(yè)機構各行其是，共性問題成為“公地悲劇”，在人性道德陷阱下隱患重重。

作為人類歷史上最具效率的經濟組織方式，市場經濟較之以往游牧經濟、農耕經濟更能釋放生產力的秘訣就在于“物化”乃至“金融化”。曾幾何時，物化的對象還主要集中于自然資源和人的勞動，進入數字時代，人本身包括社會關系、行為方式乃至生物特征等都成了物化的對象。數據作為新經濟的“原油”，在驅動歷史洪流滾滾向前的同時，卻也在信息安全、隱私保護方面留下一地雞毛。

伴隨著數字經濟對傳統(tǒng)社會關系滲透改造的加強，對個人信息的關注也西風東漸，在中國引起強烈關注。從媒體對特斯拉“隱私門”的廣泛報道到3·15晚會對多家知名商店違法安裝人臉識別設備的曝光;從全國人大法工委提出“個人信息保護法草案應對人臉識別信息處理作出專門規(guī)定”，到全國“兩會”期間委員聯(lián)合提案建議建立人臉識別的網絡及信息安全監(jiān)管體系，無不說明了這一點。

在種種爭論、焦慮乃至恐慌中，成為眾矢之的的莫過于人臉識別。本來，在種種安全技術中，人臉識別因為在成本、技術、門檻以及體驗上的綜合優(yōu)勢，不但力壓數字密碼、電子證書等傳統(tǒng)技術，就連系出同門的指紋、聲紋等也自嘆不如，成為名副其實的“希望之星”。只是春風得意不過數年便遭逢信息安全大潮的“水逆”，展望未來，人臉識別還有多少含“金”量?

技術與應用瓶頸

在那個“大眾創(chuàng)業(yè)”、“萬眾創(chuàng)新”的鍍金時代，一句俏皮話曾經火遍大江南北——站在風口上豬都能飛。很明顯，經歷了泥沙俱下的時間洗禮，有著硬核實力和真實應用的人臉識別并不是那只會飛的豬。

按照行業(yè)一般看法，人臉識別可以簡單概括為機器對靜態(tài)或視頻中的人臉圖像進行特征提取、分類識別，以達到身份鑒別的目的，其功能歸納起來主要是身份驗證和監(jiān)控。

隨著技術本身的快速進步、市場應用需求的日益凸顯，以及各路資本的競相熱捧，人臉識別的應用不斷升溫，在政府機構的公共應用和非政府機構的商業(yè)應用與慈善應用的場景和功能與日俱增。

然而在互聯(lián)網經濟退潮之后，人臉識別雖不至于在“裸泳”，但卻也暴露出曾掩映在高速發(fā)展光環(huán)下的種種先天缺陷：

首先，人臉識別主打的無感識別正在走向自己的反面，核心在于人是“被”識別而非主動識別，這還不僅僅是信息安全、隱私保護、人格尊嚴等的問題，即使在技術層面也暴露出人臉識別的一大短板：一方面，人臉識別固然在驗證是否本人方面功效卓著(雖然也會受到自然條件如光線等的影響，以及識別率的調節(jié));但另一方面，被動的人臉識別在行為意愿與否的驗證上卻需要進化以及其他技術的支持。

其次，人臉識別的安全認證對象是人臉，而作為人體主要生物特征且寄托社會關系和情感因素的人臉，卻很難甚至不能更換。一者，人臉不可避免地持續(xù)暴露在外，增加了被破解、被利用的機率;二者，更改密碼等安全要素、各類密碼不能混同等本是基本的安全常識，但人臉卻不能滿足這些策略;三者，人臉是自然生成，具有隨機性，識別也主要是靠一個個元素試錯性的積累，這從根本上無法避免“撞臉”的可能。

最后，物化及反物化的撕裂已經并將如影隨形地持續(xù)影響人臉識別應用。表面上看，人臉識別是將自然生物特征密碼化，是從工具到工具，實質上看，由于人臉的社會屬性，人臉識別卻是將人格權利工具化，是從人到物。特別是在被互聯(lián)網刺激整合的民粹主義思潮影響下，張揚個性、反對物化的號召到處引起共鳴，再考慮到哲學社會科學以及法律領域對信息權利歸屬并沒有權威解釋、規(guī)范而莫衷一是，人臉識別的合規(guī)壓力顯然具有長期性和深刻性。

除了技術層面的先天缺陷外，人臉識別在應用層面也遇到重重挑戰(zhàn)：

挑戰(zhàn)首先來自業(yè)界自身。從發(fā)展歷程看來，人臉識別作為前沿的安全技術，其向傳統(tǒng)行業(yè)的普及始終與作為主要推動力量的互聯(lián)網相進退?，F在，互聯(lián)網越來越成為一種通用技術、一種基礎設施，人們對其應用的需求已經從此前的便捷高效，跨越到安全、合規(guī)領域。

尤為重要的是，一方面，業(yè)界對人臉識別還缺乏整合，商業(yè)機構各行其是，行業(yè)沒有統(tǒng)一聲音，共性問題成為“公地悲劇”，在人性道德陷阱下由于資金缺乏而破題艱難;另一方面，一些曾經失意的競爭對手卻卷土重來，比如電子證書解決了便攜問題，指紋識別優(yōu)化了安全功能，它們或者自身進化、或者強強聯(lián)合，已然成為頗具規(guī)模的替代方案。

另外，人臉識別對網絡渠道的路徑依賴正逐漸成為其應用上的最大掣肘。

以金融領域為例，一者，行業(yè)已經過了渠道線上化而進入經營線上化的時代，這就要求人臉識別不能還只作為登錄、支付等掌上銀行交易環(huán)節(jié)的驗證工具，而是向中后臺應用延伸，需要支持金融機構風控、信貸等更深層次的核心要求，但現實卻是人臉識別的應用縱深并不夠，并不能直接、獨立提升經營管理效率。

再者，人臉識別及與其相關的人工智能等在一定程度上也可以稱為“勞動密集型”產業(yè)，需要大規(guī)模的人工通過經驗主義的方式對AI進行個案輔導以提升識別等能力。但現在由于成本控制的考量，人工還只停留于一般勞動者的簡單勞動。

然而行業(yè)解決方案需要的卻是基于專家經驗的技術應用，人臉識別與場景的深度結合不但要有天才的方案設計，更需要腳踏實地的專家經驗的輔導與喂養(yǎng)，而這至少在短時間內會使企業(yè)遭遇成本上升和業(yè)務增長的“兩難”，甚至成為部分初創(chuàng)企業(yè)的“滑鐵盧”。

三大合規(guī)隱患

如果說人臉識別的發(fā)展瓶頸主要在于技術，其風險桎梏則主要來自法律。如前所述，在“互聯(lián)網+”的大背景下，科技與商業(yè)的融合愈發(fā)緊密，利用科技手段竊取和非法使用群眾個人信息的新聞也屢見不鮮;同樣，科技進步也推動了普通民眾法律知識水平與思想觀念的進步，從西方到東方，個人信息保護已成為社會共識。

在上述情況影響下，對人臉識別的法律規(guī)范已然在進行，但其風險主要來自三個方面，一是法律、政策乃至發(fā)展規(guī)劃對人臉識別的“層層加碼”。人臉識別技術所收集的生物信息在中國是屬于法律規(guī)定的個人信息的范疇，應該受到個人信息保護的法律、法規(guī)等規(guī)范性法律文件的約束。另外，由于人臉識別及其相關人工智能在技術發(fā)展上的重要性，從中央到地方，從金融到產業(yè)，各類規(guī)劃對其發(fā)展進行鼓勵的同時也按各自思路施加引導(見文末附圖)。立法領域和層級的復雜性在一定程度上增加了執(zhí)法司法的不確定性，進而增加了行業(yè)企業(yè)的合規(guī)成本。

二是確權這一基礎的法律理論問題并沒有真正解決，基本法律框架還處在發(fā)育過程中，未來甚至不排除有根本性的轉變。一者，信息權利在個人和企業(yè)間的歸屬及為何如此歸屬的問題還沒有很好的詮釋，信息權利橫跨人格權和財產權兩大法域，既不利于權利的針對性保護，也為其“物化”預留了法律空間。

二者，保護框架還在利益平衡和絕對保護兩者之間搖擺，前者關注個人和企業(yè)之間的利益平衡，強調服務提供與信息讓渡的公平交易，將信息保護更多歸為商業(yè)領域，后者則直接將信息保護視作基本人權，強調其構成人之所以為人的基本要素而絕對保護，對技術發(fā)展則進行規(guī)范甚至約束。

三者，規(guī)范體系仍在持續(xù)增加，并且由于其縱向、橫向的廣泛跨度，專業(yè)性也日趨縝密。比如，除文末附圖中收集整理的中國關于個人信息保護的相關法律法規(guī)外，正在征求意見的《數據安全管理辦法》、《個人信息出境安全評估辦法》也是專門針對個人數據管理的專門性法規(guī)。

此外，中國還出臺了與人臉識別技術或識別生物特征信息的相關國家標準規(guī)定，比如《信息安全技術個人信息安全規(guī)范》《信息技術生物特征識別應用程序接口》系列標準、《公共安全人臉識別應用圖像技術要求》等。

即便如此，中國針對人臉識別所涉及個人信息和數據安全等方面的規(guī)范體系也還并不健全，比如中國重點限制企業(yè)采集信息，但對公權力和域外收集個人信息還少有限制，中國規(guī)定正當性采集信息為原則，但未明確具體細節(jié)等，同時現有政策法律規(guī)定零散、操作性也有待加強。以上種種的疊加，自然而然隱藏著較大的風險隱患。

企業(yè)風控桎梏

除了法律規(guī)范逐漸細致、確權問題尚未解決、權利意識日益高漲等合規(guī)問題外，隨著人臉識別在深度(越來越多地介入企業(yè)經營機制縱深)、廣度(應用場景、作用發(fā)揮越來越多)兩端的擴展，企業(yè)逐漸走向原來并不熟悉的高風險領域。并且由于這些領域技術應用的交叉性，此間也沒有成功經驗可循，包括業(yè)務發(fā)展以及法律規(guī)范、權利保護等都需要持續(xù)摸索，持續(xù)面臨不確定性的挑戰(zhàn)。也可以說，人臉識別的風險現在集中表現為，即使是企業(yè)自身(更遑論其他)也并不具備相應的風險管控能力，擇其要者具體如下：

首先是技術應用風險。按照行業(yè)通說，人臉識別作為收集生物信息技術手段，需滿足真實性、保密性及實用性等要求。但因現在人臉識別技術還處于發(fā)展過程之中，實際應用未臻完美，其識別精準度受算法、光照甚至姿態(tài)等因素的影響，尤其是部分企業(yè)在動態(tài)識別領域關鍵技術的缺失，使得其在實際應用中的效果會較理想大打折扣。

在信息安全方面，如今互聯(lián)網公司掌握公民大量的信息，一旦黑客利用技術入侵乃至盜取相關企業(yè)儲存的用戶信息，極易造成安全隱患。根據《南方都市報》人工智能倫理課題組和App專項治理工作組發(fā)布的《人臉識別應用公眾調研報告(2020)》顯示，有九成以上的受訪者使用過人臉識別，其中六成受訪者認為人臉識別技術有濫用趨勢，另有三成受訪者表示，已經因為人臉信息泄露、濫用而遭受到隱私或財產損失。并且由于人臉信息在生物性和社會性上的唯一性，使得其不像其他信息。人臉信息一旦丟失就無法進行掛失，無異于將自己的“密碼”公之于眾。

有鑒于此，如何防止和堵塞黑客盜取公民信息的技術漏洞，應是互聯(lián)網企業(yè)提升安全防范技術的重中之重。

在技術運行方面，人臉識別受外界因素影響較大，具有使用不穩(wěn)定、復雜性不夠的特點，可能會造成識別錯誤、識別混同等情形。另外，由于地區(qū)之間資源不平衡、信息流通不暢等問題，也容易導致識別信息混亂。

同時，由于采集來的大量生物信息集中儲存在企業(yè)相關系統(tǒng)內，且數據量呈指數倍極快增長，如果同時運行或輸出各種不同的數據，系統(tǒng)程序多次頻繁運行，有可能造成輸出數據錯位和內部信息錯亂，為信息數據儲存和運行帶來安全風險。相關企業(yè)當前的數據儲存技術和架構能否承擔龐大的需求還需要實踐的檢驗。而信息權利不同其他，若其數據管理系統(tǒng)缺乏相應的安全機制，即使亡羊補牢也為時晚矣。

其次是規(guī)范紕漏風險。即使是有了各種各樣的法律規(guī)范，但由于人臉識別及相關技術的復雜性和應用的廣泛性，不同領域也都在不同程度上存在法律制度、監(jiān)管政策制定瑕疵和落后實際需要的風險。

如小區(qū)、校園等公共場所公民信息被隨意收集，或消費者以自身信息作為接受服務的對價，這些現象的出現主要是因為中國對于信息收集并沒有針對具體場景應用設置相應的、細致的門檻要求，部分企業(yè)在利潤驅動下鋌而走險，以“打擦邊球”的方式來肆意收集公民信息。

在強制采集方面，曾經風靡一時的“面相測試”、“掌紋算命”、網上基因檢測以及ZAO軟件都是未經用戶同意以欺騙手段或強制采集用戶生物信息。而在此前中國消費者協(xié)會公布的對于涉及采集個人信息的App抽查測評也顯示中國存在大量App等程序不正當、不適度收集用戶信息的情況。因為缺乏市場有效約束和違法成本相對較低，部分領域企業(yè)強制采集用戶信息甚至成為常態(tài)。相當多的軟件要求用戶不同意信息采集則被禁止享有App服務，即“不授權無服務”，即使屢遭治理，仍有部分企業(yè)依然我行我素，憑借專業(yè)及信息優(yōu)勢欺瞞監(jiān)管和公眾，過量采集相關信息。

在信息濫用方面，正如不少專家所指出的，目前人臉識別所面臨的最重要問題還不是如何保護，而是治理濫用。濫用人臉識別技術之所以引起恐慌，是因為其綜合了無感性、被動性、唯一性以及關聯(lián)性等特性，原本的威脅也因未知而具有了“乘數效應”。

如前所述，人臉識別技術可以在肢體非接觸的情形下，在人臉檢測、核驗人臉屬性、身份驗證等環(huán)節(jié)遠程識別出自然人而無需物理性接觸，這也曾是人臉識別信息區(qū)別于虹膜信息、指紋信息的最大“優(yōu)勢”。當然也是憑借該特征，為大規(guī)模隱秘監(jiān)控、多人同時識別以及避免物理性殘余干擾提供了技術上的可能。

最后是保護不足風險。即使公眾的權利保護意識較之先前有了較大提高，但與人臉識別技術及風險相比，其認識程度仍顯不足。由于人臉識別技術具有前述的非接觸性等特點，從而使其讀取或收集個人信息更具隱蔽性，甚至是在被收集人不知情的情況下就可以進行信息采集，悄然無息之間，人臉識別就會侵犯公民隱私、自由甚至人身安全。

在知情權方面，作為法律規(guī)定公民所享有的保護其個人信息的基本權利，知情權的存在決定了任何應用訪問個人信息必須獲得用戶許可。如中國《網絡安全法》第四十四條就規(guī)定：“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。”但是由于專業(yè)性壁壘和信息不對稱，民眾往往對于在無感的情況下個人信息不合理或過度采集缺乏保護意識。所以，如何保護公民信息采集時的知情權，以及企業(yè)乃至政府使用個人信息時如何合法授權，應是業(yè)界思考的重要問題。

在隱私權方面，當下，人臉識別探頭幾乎遍布公共場所每一角落，其對外宣傳的目的當然是諸如維護治安，保護居民等等。然而用戶的信息卻被各類企業(yè)大量采集，如若收集的公民信息使用不當就會侵犯公民的隱私權。事實上，在崇尚效率的今天，大多數民眾并不排斥人臉識別帶來的便捷實用，但是隱私泄露這一高懸的“達摩克利斯之劍”也讓大家心生恐懼。生物信息會不會被過度地采集?一些企業(yè)有沒有合理使用信息的自律性、自覺性?一旦這些信息被盜取，普通民眾的隱私將無所遁形。

當然，除了上述風險外，法律領域部分專家還對人臉識別持更加批判的態(tài)度，認為其還可能引發(fā)諸如成為“透明人”、行為“被操控”甚至權利無法救濟等問題，這在業(yè)界看來則有些“匪夷所思”。然而上述聲音也并非孤例，相反，如果行業(yè)不未雨綢繆，這些“過慮”的觀點會持續(xù)發(fā)酵，直至成為社會共識，最終對人臉識別發(fā)展造成重大影響。

未來規(guī)范之路

隨著技術及應用的發(fā)展，人們對于人臉識別“兩面性”的認識逐漸加深，在規(guī)范與發(fā)展這組“兩面性”上，首先，規(guī)范的目的是通過調整和規(guī)范公共機構與公眾的活動，實現既定的公共政策目標，在此之下需要平衡數據產業(yè)發(fā)展與個人信息保護之間的矛盾，實現規(guī)范技術應用和促進技術發(fā)展的目標。

在技術屬性和社會屬性這組“兩面性”上，最為關鍵的還是作為技術的人臉識別需要充分認識到其社會成本和外部性，并予以有效約束和補償(當然最好是自律和自償，否則將面臨嚴峻的外部規(guī)范)，目標則是從根本上緩釋、控制乃至解決人格權利的“物化”問題，真正回到服務消費者的初心，將其作為主體而非對象，服務而非消費。

在法律規(guī)范領域，除了按照社會共識加強對收集與使用數據方面的合規(guī)約束，明確個人數據和信息保護的責任歸屬，根據類型與場景進行不同程度的保護，以及重點打擊對個人數據的濫用等外，關鍵還在于形成體現數字時代精神，寓發(fā)展于規(guī)范，架構內容合理的多重規(guī)范體系。這體現了國家治理能力和社會治理體系現代化的規(guī)范體系既要綜合運用直接治理和間接調控等多種手段，也要吸納各方基于專業(yè)性的積極參與。

在具體落實方面，政府應當加強對“人臉識別技術”應用的監(jiān)管，剛柔并濟，促成與相關行業(yè)之間的公私良性互動、共同合作規(guī)制。行業(yè)組織、專業(yè)機構應當加強安全管理，著重保障用戶的隱私和數據的安全，加緊推動自律規(guī)范、行標團標等“軟法”的形成，既為法律實施提供保障，也為規(guī)范完善打造基礎。

相關企業(yè)在使用人臉的過程中，應當重視隱私合規(guī)要求，依法盡到告知義務，同時高度重視人臉數據的使用和存儲安全，進行充分的技術投入和管理措施用于保護人臉識別的安全性，避免因自身防護不當導致的用戶敏感信息泄露和賬戶資金損失，及其產生的法律、輿情風險。

展望未來，人臉識別的技術發(fā)展與社會公眾的權利保護并不沖突，破題關鍵在于企業(yè)要勇于沖出(現在也不得不沖出)低水平、低成本運營的“舒適區(qū)”，使技術深度融入產業(yè)鏈、創(chuàng)新鏈，更具有“高級感”。